在数字化飞速发展的当下,数据保护监管机构实施的法规愈发严格,企业在数据合规方面面临着很大的挑战。欧盟实施的《通用数据保护条例》(General Data Protect Regulation, GDPR) 驱使全球数据保护法规更加严格,赋予了消费者更大的隐私权。因此,企业应注意加强数据保护合规能力,以降低法律风险和经济风险,保障企业的可持续发展,同时可以赢得消费者的信任,打造良好的品牌形象,间接提高消费者对企业的忠诚度。
在《Zed解读 | GDPR 和《网络安全法》下的数据安全合规对比》一篇中,我们曾以欧盟 GDPR 和国内《网络安全法》为代表,对国内外数据安全的合规性进行简要地解读与探讨,分析典型场景的合规性要求与安全挑战,以助力企业更好地应对合规性问题。
ePD规定了Cookie或类似技术的同意要求,而GDPR规定了有关个人数据处理活动同意的一般原则。欧洲数据保护委员会(EDPB)也在其《关于GDPR下“同意”》的指南中明确指出,GDPR下获得有效同意的条件也适用于ePD范围内的情况。因此,我们更关注GDPR的同意要求。根据GDPR的要求,处理个人数据必须具有法律依据。企业处理个人数据大多采用“获得数据主体的同意”作为法律依据。
GDPR将数据主体定义为“已识别或可识别的自然人”,从其处或收集关于其的信息。根据GDPR的定义,个人数据是指与已识别或可识别的自然人(“数据主体”)有关的任何信息,如姓名、身份证号码、位置数据、在线标识符或与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个特定因素。总之,如果企业采用“用户同意”作为网站或应用程序处理个人数据的法律依据,则需要遵守以下有关用户同意的要求。
一、用户同意应当满足有效性
有效的用户同意是指,数据主体通过声明或明确肯定的行动来表示同意处理与其有关的个人数据,意思表示应当是自由给予的、具体的、知情的和明确的。应注意以下四个关键要素:
• 自由提供:意味着数据主体拥有真正的选择权和控制权。对数据主体施加任何不适当的压力或影响阻止数据主体自由地行使其意愿,都会导致获取的同意无效。
– 不能把同意作为服务条款的捆绑部分。
例:某网站提供商安装了一个脚本会阻止网站内容的显示,只显示询问是否同意Cookies的请求以及正在设置哪些Cookies和出于何种目的处理数据的信息。如果不点击“接受 Cookies”按钮,就无法访问内容。由于没有向数据主体提供真正的选择,获取的同意不是被用户根据自由意愿提供的。
– 不应让用户一次性对多个处理目的提供同意,数据主体应可自由选择他们接受的目的。
例:在同意请求中,零售商要求客户同意使用其数据通过电子邮件向其发送营销信息,并与集团内其他公司共享其详细信息。这种同意的范围比较宽泛,没有针对这两个不同的处理目的设置单独同意,因此这种同意无效。
– 拒绝或撤销同意不能对数据主体造成损害(如额外费用、服务性能下降)。
例:客户订阅了某时装零售商提供折扣的资讯,零售商要求客户同意收集更多有关购物偏好的数据,以便根据客户的购物记录或自愿填写的问卷,为其量身定制优惠。当顾客后来撤销同意时,仍应收到相同的折扣但不包含个性化营销资讯。
• 具体:意味着确保用户数据对用户的透明度,用户对数据具有一定程度的控制能力。数据主体必须在对特定处理目的知情的情况下,始终对特定的处理目的表示同意。如果为各种不同的处理目的征求同意,应该为每种目的提供单独的选择,允许用户为每种特定目的给予特定同意,并告知每种目的的信息。
例:某游戏应用程序根据用户的同意收集他们的个人数据,并根据他们的操作习惯推荐用户可能感兴趣的游戏内容。一段时间后,该应用程序决定让第三方根据用户习惯发送(或显示)有针对性的广告。鉴于这一新的目的,则需要征得新的同意。
• 知情:要求在征得数据主体同意之前向其提供有关信息,使其能够做出知情的决定。征得同意的要求应与其他事项明确区分开来,以易懂、易获取的形式展现,使用清晰明了的语言表达。如:此类信息不应只隐藏在向用户展示的一般条款中。
为获得有效的用户同意,至少应提供以下信息:
a. 控制者的身份;
b. 征求同意的每项数据处理目的;
c. 将收集和使用什么(类型)数据;
d. 用户撤销同意的权利;
e. 根据GDPR第22(2)(c)条,在相关情况下,提供有关使用数据进行自动决策的信息;
f. 由于缺乏欧盟委员会的充分性决定和适当的保障措施(如GDPR第46条所述),数据传输可能存在的风险。
GDPR第22(2)条要求:数据主体有权不接受仅基于自动处理(包括用户画像)的决定,除非有以下三种情况之一的法律依据:(a)为签订或履行数据主体与数据控制者之间的合同所必需;(b)经数据控制者所遵守的欧盟或成员国法律授权,且该法律还规定了适当措施以保障数据主体的权利和自由以及合法利益;或(c)基于数据主体的明确同意。
GDPR第46条要求:在向第三国或国际组织传输个人数据之前,控制者或处理者应提供适当的保障措施。
• 明确表示意愿:有效的同意需要用户通过声明或明确的肯定行动来表示。
同意可以通过书面或(记录的)口头声明,包括电子方式收集。
数据主体的沉默或不主动反馈以及仅仅继续使用服务,都不能被视为主动选择的表示,所以需要注意收集用户同意时,应当提供有利于用户反馈的界面,如提供按钮和默认不勾选的条件框。同样,接受一般条款不能被视为同意使用个人数据的明确肯定行动。在设计同意机制时,应让数据主体清楚明白其同意的行为代表什么,避免含糊不清,并确保同意的行为可以与其他行为区分开来。
例:当用户第一次访问某网站时,他们会被告知Cookie被用来收集他们的交互信息,用于改善用户浏览体验。通过点击“接受”按钮,用户可以有效地执行“明确的肯定行为”,同意进行处理。此外,还需要向用户提供一个“拒绝”按钮, 当用户点击“拒绝”按钮时,将不再收集他们的交互信息。
二、应获得“明示”同意的情况
如果在下列情况下使用同意作为法律依据,则需要获取用户“明示”的同意,比常规同意的内容要求更严格:
- 处理GDPR第9条定义的特殊类别个人数据时,包括揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员身份的个人数据,以及处理基因数据、用于唯一识别自然人身份的生物特征数据、与健康有关的数据或与自然人的性生活或性取向有关的数据。
- 用于对个人数据的自动化决策的处理,包括用户画像。
- 在缺乏适当保障措施的情况下向第三国或国际组织传输个人数据。
用户画像指任何形式的个人数据自动处理,包括使用个人数据对自然人的某些个人方面进行评估,特别是分析或预测该自然人的工作表现、经济状况、健康状况、个人偏好、兴趣、可靠性、行为、位置或行动。
如企业在处理用户个人信息时存在以上场景,建议咨询专业的第三方,对上述情况进行详细分析。
可以考虑通过以下方法之一获得数据主体的明确同意:
- 书面声明:数据主体通过提供书面声明明确表示同意,在适当情况下可能需要签名。
- 数字或在线同意:数据主体通过填写电子表格、发送电子邮件、上传带有数据主体签名的扫描文件或使用电子签名来表示同意。
- 分两阶段核实用户同意:可分两个阶段核实同意,以确保其真实性和有效性。
为了最大限度地避免合规问题,建议不要将特殊类别数据和精确位置数据用于广告目的的数据处理。
三、获得儿童同意的额外要求
在处理弱势自然人(尤其是儿童)的个人数据时,需要根据GDPR要求建立额外保护机制,特别是适用于为了营销或创建个性/用户档案而使用儿童个人数据, 以及直接向儿童提供服务时收集儿童的个人数据。如果网站或应用程序以儿童为目标受众,则在基于同意进行数据处理时,应注意附加要求:
- 如果儿童未满16周岁(根据欧洲经济区各国的法律可能有所不同),只有在儿童的父母监护人同意或授权的情况下,此类处理才是合法的。
- 应考虑到现有技术,尽力核实同意是否由儿童的父母监护人给予或授权。
如果希望最大限度地避免合规问题,建议在业务中禁止针对儿童的个性化广告。
四、撤回同意的要求
GDPR第7(3)条规定,数据主体有权随时撤回其已提供的同意。有关撤回同意的一些具体要求如下:
- 数据主体应能够像提供同意一样方便地撤回其同意。例如,如果同意是通过网站或应用程序的特定服务用户界面获得的,则必须可以通过相同的电子界面撤回同意。
- 撤回同意应是免费的,且不会导致服务质量下降。
- 必须告知数据主体其具有撤回同意的权利,这是为获得有效同意而提供的信息的一部分。
- 如果数据主体撤回同意,必须立即停止数据处理。如果没有其他合法依据,则必须删除数据。
五、同意的记录
GDPR第7(1)条中,明确概述了控制者具有证明数据主体同意的明确义务。换句话说,企业应保存从数据主体处获得同意的记录。只要相关数据处理活动持续进行,企业就有义务证明曾获得用户同意。而处理活动结束后,同意证明的保存时间不得超过履行法律义务或确立、行使或捍卫法律主张所严格需要的时间。
本文摘编自普华永道发布的《欧盟法规要求下的用户同意实践白皮书》。
在文末扫码关注官方微信公众号“idtzed”,回复“入”直通 AIGC+X 个人信息保护营、数据安全营、数据合规营,@老邪 免费获取。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
